Themabeleid Privacy & Bescherming Persoonsgegevens - Verwerken Persoonsgegevens
ONDERWIJS EN STUDENTEN
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 2
Leeswijzer
Dit Themabeleid Onderwijs en Studenten is onderdeel van het Beleid Privacy & Bescherming Persoonsgegevens en beschrijft de wijze waarop Tilburg University de Algemene Verordening Gegevensbescherming (AVG) implementeert inzake de bescherming van de Persoonsgegevens met betrekking tot onderwijs en studenten. Voor de leesbaarheid hebben we dit beleid onderverdeeld in twee delen aan de hand van de levenscyclus onderwijs en studenten.
Levenscyclus studenten
Levenscyclus onderwijs
Alle informatie met betrekking tot de Europese wetgeving (AVG) en de Bescherming van Persoonsgegevens is opgenomen op een TiU website1 waaronder ook de Frequently Asked Questions. Op deze website zijn ook praktische uitwerkingen en voorbeelden te vinden. Elke school/divisie binnen TiU heeft zogenaamde Data Representatives aangesteld. Zij zijn het eerste aanspreekpunt voor medewerkers in geval van vragen over de Bescherming van Persoonsgegevens. In het beleid zijn verwijzigingen opgenomen naar andere beleidsstukken. Deze zijn gemarkeerd als ‘verwijzing’. De richtlijnen die van toepassing zijn, zijn weergegeven in blokken, om ze eenvoudig vindbaar te maken:
Onderwerp Richtlijn.
In dit beleid zijn veel definities opgenomen (zie bijlage 1). De woorden die in de definitielijst staan zijn geschreven met een hoofdletter. Wanneer in dit beleid wordt gesproken over hij, wordt hieronder verstaan hij/zij of personen die zich niet identificeren met een mannelijk dan wel vrouwelijk geslacht.
1 https://www.tilburguniversity.edu/web/nl/intranet/ondersteuning-werk/juridisch/privacy/avg.htm
Werven student
Aanmelden & inschrijven
student
Studie voortgang
Diplomering & Uitschrijving
studentAlumni
Ontwikkelen onderwijs
UItvoeren onderwijs
EvaluerenVerbeteren onderwijs
Accrediteren onderwijs
https://www.tilburguniversity.edu/web/nl/intranet/ondersteuning-werk/juridisch/privacy/avg.htm
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 3
Inhoudsopgave 1. Algemeen.............................................................................................................................................. 5
2. Richtlijnen - algemeen ........................................................................................................................ 6
2.1. Verwerkingsgrondslag en doel voor Verwerking .................................................................... 6
2.2. Rechten van studenten ........................................................................................................... 7
2.3. Dienstverlening aan andere onderwijsorganisaties ................................................................ 9
3. Werven student .................................................................................................................................. 10
4. Aanmelden & Inschrijven student ................................................................................................... 10
4.1. Verwerkingsgrondslagen ...................................................................................................... 10
4.2. Persoonsgegevens ............................................................................................................... 11
4.2.1. Minderjarige studenten.................................................................................................. 13
4.2.2. Actualisatie Persoonsgegevens .................................................................................... 13
4.3. Doorgifte van Persoonsgegevens aangemelde of ingeschreven studenten ....................... 13
4.4. Communicatie met aangemelde / ingeschreven studenten ................................................. 15
4.5. Bewaartermijn ....................................................................................................................... 16
5. Studievoortgang ................................................................................................................................ 17
5.1. Volgen onderwijs .................................................................................................................. 17
5.2. Tentaminering ....................................................................................................................... 18
5.2.1. Verwerkingsgrondslag................................................................................................... 18
5.2.2. Aanmelden voor tentamen ............................................................................................ 18
5.2.3. Afleggen tentamen ........................................................................................................ 19
5.2.4. Beoordeling tentamen ................................................................................................... 19
5.2.5. Vaststellen van het definitieve resultaat ....................................................................... 20
5.2.6. Inzage ............................................................................................................................ 21
5.2.7. Bewaartermijn tentamens ............................................................................................. 22
5.2.8. Bachelor- en masterscripties ........................................................................................ 22
5.2.9. Delen van studieresultaten ........................................................................................... 23
5.3. Stages en studiereizen ......................................................................................................... 24
5.4. Studentenbegeleiding ........................................................................................................... 24
5.4.1. Centraal Loket Geschillen en Klachten ......................................................................... 26
5.5. Diplomering ........................................................................................................................... 27
5.5.1. Diplomaverificatie .......................................................................................................... 28
5.6. Uitschrijven student .............................................................................................................. 28
5.7. Alumni ................................................................................................................................... 29
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 4
6. Ontwikkelen onderwijs ...................................................................................................................... 30
6.1. Beleidskaders ....................................................................................................................... 30
6.2. Onderwijs ontwikkeling – programma en course niveau ...................................................... 31
7. Uitvoeren onderwijs .......................................................................................................................... 32
7.1. Samenstelling onderwijsgroepen (roosteren studenten) ...................................................... 32
7.2. Gebruik van casuïstiek, voorbeelden en onderzoeksgegevens binnen het onderwijs ........ 33
7.3. Studentenlijsten, aanwezigheidsregistratie, registratie uitvoeren van deelopdrachten ....... 34
7.4. Audio en video opnames in het kader van de uitvoering van onderwijs .............................. 34
7.5. Inloggen in systemen in het kader van de uitvoering van onderwijs .................................... 36
8. Evalueren onderwijs .......................................................................................................................... 36
8.1. Evaluatie onderwijs aan de hand van studentevaluaties ..................................................... 36
8.2. Evaluatie onderwijs aan de hand van learning analytics ..................................................... 37
8.3. Marktonderzoeken (extern) studenten ................................................................................. 37
8.4. Docent evaluaties ................................................................................................................. 37
9. Verbeteren onderwijs ........................................................................................................................ 38
10. Accreditatie onderwijs ...................................................................................................................... 38
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 5
1. Algemeen
Een Persoonsgegeven is:
alle informatie die een natuurlijk persoon kan identificeren dan wel die informatie
die nu of in de toekomst naar deze persoon te herleiden is.
Het kan hierbij gaan om de naam, ANR of andere gegevens die een persoon op unieke wijze identificeren. Het kan echter ook om een combinatie gaan van een aantal gegevens die op zichzelf niet maar in combinatie wel naar een persoon te herleiden zijn of in de toekomst door bijvoorbeeld technische mogelijkheden te herleiden zijn tot een persoon, de zogenaamde Herleidbare Persoonsgegevens. De combinatie van bijvoorbeeld woonplaats, leeftijd, studie kan te herleiden zijn tot een persoon. Waar het gaat om gegevens die betrekking hebben op een persoon, gaat het al snel om Herleidbare Persoonsgegevens.
Bij onderwijs hebben we te maken met (aankomend) studenten of cursisten waarvan we Persoonsgegevens Verwerken. Tilburg University (TiU) hecht veel waarde aan het zorgvuldig Verwerken van de Persoonsgegevens in het kader van onderwijs, waarbij we een goede balans zoeken tussen privacy, veiligheid en functionaliteit omdat misbruik van gegevens grote schade kan berokkenen aan studenten, medewerkers en Tilburg University. In de AVG wordt gesproken over Betrokkene of datasubject, dit betreft in onderwijs voornamelijk studenten en cursisten. Studenten zal in het vervolg gebruikt worden voor beide groepen. Onder Verwerking wordt verstaan het bewerken van Persoonsgegevens, al dan niet geautomatiseerd zoals verzamelen, vastleggen, ordenen, structureren, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken (doorsturen), verspreiden of ter beschikking stellen, combineren, afschermen of vernietigen van gegevens. Het betreft zowel papieren dossiers of archieven, digitale bestanden of Persoonsgegevens in een applicatie /systeem (waaronder mailboxen, laptops of andere gegevensdragers) Met andere woorden alles wat je doet met Persoonsgegevens.
Dit Beleid is van toepassing op alle Verwerkingen van Persoonsgegevens die
plaatsvinden in het kader van Onderwijs en Studenten onder verantwoordelijkheid
van Tilburg University en geldt voor iedereen die werkzaam is onder
verantwoordelijkheid van Tilburg University.
De uitwerking van dit document vindt plaats aan de hand van de zogenaamde levenscyclus van een
student en onderwijs.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 6
Levenscyclus studenten
De blauw gemarkeerde processtappen worden beschreven in het Themabeleid Externe relaties.
Levenscyclus onderwijs
Verantwoordelijk De Proceseigenaar van het proces waarbij de Persoonsgegevens
worden verwerkt is eindverantwoordelijk voor de Bescherming van
deze Persoonsgegevens. De Proceseigenaar dient te waarborgen dat
alle medewerkers de Verwerking van Persoonsgegevens uitvoeren in
lijn met dit beleid.
2. Richtlijnen - algemeen
2.1. Verwerkingsgrondslag en doel voor Verwerking
Elke Verwerking van Persoonsgegevens dient rechtmatig te zijn, dat wil zeggen dat er een wettelijke
Verwerkingsgrondslag en doel moet zijn voor Verwerking. Voor Studenten en Onderwijs zijn de
mogelijke Verwerkingsgrondslagen opgenomen in bijlage 2:
Verwerkingsgrondslag Verwerking van Persoonsgegevens is alleen toegestaan indien
voldaan wordt aan een van de in de Bijlage 2 opgenomen
Verwerkingsgrondslagen.
De grondslag van de desbetreffende Verwerking (afhankelijk van
het proces) dient vermeld te worden in het Verwerkingsregister.
Daarnaast dient Verwerking een concreet doel te hebben (doelbinding). Dit betreft voor onderwijs /
studenten2:
1. De inschrijving voor het onderwijs;
2. de organisatie of het geven van het onderwijs, de begeleiding (bij het onderwijs of loopbaan),
dan wel het geven van studieadviezen, het verstrekken van diploma’s of andere getuigschriften;
2 Gebaseerd op het vrijstellingsbesluit WBP.
Werven student
Aanmelden & inschrijven
student
Studie voortgang
Diplomering & Uitschrijving
studentAlumni
Ontwikkelen onderwijs
UItvoeren onderwijs
EvaluerenVerbeteren onderwijs
Accrediteren onderwijs
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 7
3. het bekend maken of verstrekken van informatie en de communicatie met betrokkenen over de
producten en diensten van de instelling;
4. het bekendmaken van de activiteiten van de instelling of partners van de instelling;
5. het bijhouden van een overzicht van de verzonden informatie;
6. het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen
of vergoedingen voor leermiddelen en buitenschoolse activiteiten, waaronder begrepen het in
handen van derden stellen van vorderingen;
7. het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
8. het uitvoeren of toepassen van wettelijke voorschriften;
9. het toekennen van kiesrechten in het kader van medezeggenschap;
10. immigratiedoeleinden (het (mede-)mogelijk maken dat (toekomstige) studenten naar Nederland
kunnen reizen).
Doelbinding Verwerking van Persoonsgegevens van studenten is toegestaan
indien de Verwerking is gebaseerd op een van bovenvermelde
doelen.
Indien een Verwerking plaatsvindt op basis van een doel dat niet in
deze lijst voorkomt dan dient deze vooraf afgestemd te worden
met de Functionaris Gegevensbescherming, waarna deze indien
gerechtvaardigd is toegevoegd wordt aan de bovenstaande lijst.
Nadat doelbinding en rechtmatigheid zijn vastgesteld zijn er aanvullende eisen van toepassing.
Deze zijn opgenomen in het vervolg van dit beleid.
2.2. Rechten van studenten
De student heeft een aantal rechten met betrekking tot zijn Persoonsgegevens. Voor meer
informatie verwijzen we naar het Beleid Privacy & Bescherming Persoonsgegevens.
Recht Studenten hebben het recht om
Recht op
informatie
geïnformeerd te worden over welke Persoonsgegevens verwerkt worden.
Recht op
inzage
te allen tijde de verzamelde Persoonsgegevens met betrekking tot hun
persoon te mogen inzien.
Let op: hier kunnen mogelijk uitzonderingen bestaan op basis van de Wet
Geneeskundige Behandelingsovereenkomst.
Recht op
rectificatie
te allen tijden te eisen dat onjuiste Persoonsgegevens gecorrigeerd worden.
Recht op
beperking
de Verwerking van zijn Persoonsgegevens te beperken, bijvoorbeeld in
afwachting van de uitkomst van een bezwaar. Beperking houdt in dat
Persoonsgegevens worden gemarkeerd, en gedurende deze periode niet
Verwerkt of gedeeld mogen worden.
Recht op
verwijdering
een aanvraag te doen om zijn Persoonsgegevens te verwijderen.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 8
Recht op
bezwaar
Aan te geven dat zij niet (meer) willen dat hun gegevens verwerkt worden.
Een student kan deze rechten uitvoeren en bijvoorbeeld verzoeken om inzage van de informatie van
de gegevens die wij van hem geregistreerd hebben of verzoeken om zijn gegevens te verwijderen.
Aan het verzoek tot verwijdering hoeft niet in alle gevallen gehoor gegeven te worden:
uitzonderingen zijn bijvoorbeeld gegevens die TiU wettelijk gezien moet registreren, denk
bijvoorbeeld aan het registreren van het behalen van een diploma.
Indien een student zich beroept op een van deze rechten dient de medewerker contact op te nemen
met de Functionaris Gegevensbescherming (FG). Deze coördineert de verzoeken en zal deze
beoordelen. Dit geldt echter niet voor het recht op rectificatie / correctie. Het wijzigen van
contactgegevens of een ander gegeven moet de medewerker zelf uitvoeren (of de student
rechtstreeks via Studielink).
Rechten van
studenten
Studenten hebben de Rechten van Betrokkenen zoals in de AVG genoemd. Voor meer detail verwijzen we naar Beleid Privacy & Bescherming Persoonsgegevens – hoofdstuk 10.
Verantwoordelijk Functionaris Gegevensbescherming: medewerker dient contact op te nemen bij verzoek van Betrokkene (met uitzondering voor rectificatie / correctie).
Inzage recht Medewerkers maken diverse aantekeningen in de dossiers van Studenten, waarop Studenten inzagerecht hebben. Het is belangrijk dat deze aantekeningen zorgvuldig gemaakt worden en feitelijk juist zijn en met de student gedeeld kunnen worden in geval van inzage.
Het kan zijn dat een andere persoon dan de Betrokkene om informatie verzoekt. Denk hierbij
bijvoorbeeld aan ouders die contact- of studiegegevens van een student willen.
Verzoek van
OUDERS of
DERDEN voor
informatie
Verzoeken van derden (inclusief ouders/verzorgers) om informatie over studenten worden in beginsel nooit ingewilligd (zie uitzonderingen hieronder). Let op: uitzondering bij studentbegeleiding mits er sprake is van Toestemming van de student (zie hoofdstuk 5.4)
Informeren van door
de student
verstrekte
contactpersoon en
relevante Instanties
in
levensbedreigende
of medische
noodsituatie
In geval van een medische noodsituatie mag informatie over de medische noodsituatie van de student verstrekt worden aan ouders en/of de door student verstrekte contactpersoon en relevante hulpinstanties. Bij aanmeldprocedure kan student contactgegevens in geval van (levensbedreigende of medische) noodsituatie verstrekken.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 9
2.3. Dienstverlening aan andere onderwijsorganisaties
Diverse onderdelen van Academic Services verrichten diensten voor andere juridische entiteiten.
Denk bijvoorbeeld aan TIAS of TU Eindhoven. Indien we administratieve diensten verlenen zijn wij
de Verwerker en is de andere juridische entiteit de Verwerkingsverantwoordelijke, maar het kan
natuurlijk ook andersom: een andere entiteit verricht administratieve diensten met betrekking tot
studenten voor TiU. Het is dan van belang dat we een zogenaamde Verwerkersovereenkomst
afsluiten waarin de afspraken inzake de Verwerking van Persoonsgegevens zijn opgenomen. Het is
complex vast te stellen wat de rol is en welke overeenkomst er afgesloten moet worden. We
verwijzen naar het Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.4.
Dienstverlening
voor of door derden
inzake STUDENTEN
Indien Tilburg University Verwerker is voor een andere organisatie of als Verwerkingsverantwoordelijke een andere instantie als Verwerker aanstelt, dan dient een Verwerkersovereenkomst afgesloten te worden.
TiU krijgt veel informatie inzake studenten via Studielink waarin ook koppelingen plaatsvinden met
DUO, Basisregistratie Personen, Immigratie en Naturalisatie Dienst (IND). Dit vloeit voort uit de
wettelijke plicht om informatie te verstrekken en te ontvangen van/aan bepaalde partijen. In dit
geval hoeft er geen Verwerkersovereenkomst met deze partijen afgesloten te worden.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 10
Deel I: STUDENTEN
In dit deel wordt een uitwerking gegeven van de richtlijnen voor het Verwerken van
Persoonsgegevens afgeleid uit de AVG aan de hand van de levenscyclus van een student.
Levenscyclus studenten:
De levenscyclus studenten bevat de volgende fases:
3. Werven student
Het werven van studenten is onderdeel van het Themabeleid Externe relaties.
4. Aanmelden & Inschrijven student
De aanmelding van studenten of cursisten gaat op diverse manieren op basis van het soort
aanmelding via Studielink, TiU systemen of formulieren. Het betreft de volgende categorieën:
Potentiële en nieuwe bachelor- en masterstudenten
Pre-bachelor
Internationale Studenten
Cursisten Language Center, Contractstudenten, Bijvakstudenten, Summerschool
Convenant studenten
Incoming Exchange studenten
4.1. Verwerkingsgrondslagen
TiU schrijft diverse categorieën studenten in en deze inschrijving is gebaseerd op de uitvoering van
de studieovereenkomst. Voor een aantal aspecten en Persoonsgegevens zou de grondslag ook
‘noodzakelijk om te voldoen aan een wettelijke verplichting’ kunnen zijn. We verwijzen naar bijlage 2
voor een overzicht van de Verwerkingsgrondslagen.
Werven student
Aanmelden & inschrijven
student
Studie voortgang
Diplomering & Uitschrijving
studentAlumni
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 11
Verwerkingsgrondslag
voor aanmelding /
inschrijving
De Verwerkingsgrondslag voor inschrijving studenten is ‘noodzakelijk voor de uitvoering van een overeenkomst’ en in enkele gevallen ‘noodzakelijk om te voldoen aan een wettelijke verplichting’. De Verwerkingsgrondslag dient vermeld te worden in het Verwerkingsregister.
Deze grondslag is alleen van toepassing op de Verwerkingen die plaatsvinden van
Persoonsgegevens die we moeten hebben om de overeenkomst uit te voeren of om te voldoen aan
de wettelijke plicht. Indien we aanvullende gegevens Verwerken dan is de grondslag hiervan in
principe gerechtvaardigd belang of is er Toestemming van de student nodig. Denk bijvoorbeeld aan
een foto die een student uploadt ten behoeve van zijn University card (bij ophalen verificatie aan de
hand van kopie Identiteitsbewijs), of doorgeven van informatie aan Stichting TOP-week om nieuwe
studenten te benaderen voor de introductieweek. De foto van studenten kan indien zij hiervoor door
middel van een checkbox Toestemming geven ook worden opgenomen in Osiris.
Verwerkingsgrondslag
aanvullende gegevens
De Verwerkingsgrondslag voor aanvullende gegevens die niet noodzakelijk zijn voor aanmelding of inschrijving van de student/om te voldoen aan een wettelijke plicht is gerechtvaardigd belang of Toestemming. De Verwerkingsgrondslag dient vermeld te worden in het Verwerkingsregister.
4.2. Persoonsgegevens
Op basis van de AVG is een aantal eisen gesteld aan Persoonsgegevens om de privacybelangen te
waarborgen, waarbij een onderscheid wordt gemaakt naar Bijzondere en Gevoelige
Persoonsgegevens.
Bij de aanmelding van Studenten Verwerken wij de volgende Persoonsgegevens:
Algemene Persoonsgegevens: Naam, geslacht, geboortedatum, geboorteplaats, geboorteland,
nationaliteit 1 en nationaliteit 2, woonadres, correspondentieadres en contactgegevens (telefoon,
e-mail en correspondentietaal). Deze gegevens worden opgenomen in het Student
Informatiesysteem (Osiris of Mysas). Daarnaast wordt een studentennummer en een e-mail
account gegenereerd.
Burgerservicenummer: wordt aangevuld vanuit de Basisregistratie Personen (BRP) en is
toegestaan op basis van wettelijke verplichting (WHW).
Vreemdelingennummer door IND via Studielink (indien van toepassing).
Toelatingstesten (bijvoorbeeld Engels en Wiskunde) ten behoeve van toetsing aan de
opleidingsvereisten (voor internationale en nationale studenten).
Overige informatie: vanuit DUO wordt op basis van BSN aanvullende informatie zoals O&W
nummer, vooropleiding gegevens (uit diplomaregister) en ‘indicatie collegegeld’.
Bij internationale studenten worden ten behoeve van toelating ook nog diploma’s en cijferlijsten
(met gecertificeerde vertaling) opgevraagd ten behoeve van de toetsing aan de
opleidingsvereisten door de admission officers.
Daarnaast worden ook gegevens van de opleiding waarvoor de student zich inschrijft opgenomen,
dit betreft echter geen Persoonsgegevens. Tijdens het aanmeldproces wordt steeds gecontroleerd
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 12
of de studiezoeker/potentiële student (aanmelder) aan alle inschrijfvoorwaarden voldoet. Zodra een
studiezoeker het gehele aanmeldtraject doorlopen heeft en aan alle toelatingsvoorwaarden heeft
voldaan, wordt zijn status van Aanmelder gewijzigd in Student (Ingeschrevene).
Aanleveren
Persoonsgegevens
door Studielink/Mysas
en andere systemen
De aanlevering van Persoonsgegevens voor aanmelding en inschrijven studenten gebeurt op basis van een wettelijke verplichting. Het is derhalve niet noodzakelijk dat er een Verwerkersovereenkomst wordt afgesloten.
Burgerservicenummer Het BSN nummer mag op basis van een wettelijke verplichting worden verwerkt, bijvoorbeeld:
voor aanmelding en inschrijving van student (artikel 7.31e uit de Wet op het Hoger onderwijs en Wetenschappelijk onderzoek);
bij deelname aan inburgeringstaalcursussen (artikel 49 Wet inburgering).
Bijzondere
Persoonsgegevens
Het is niet toegestaan om bij aanmelding en inschrijving van de student Bijzondere Persoonsgegevens3 van de student te registreren.
Kopie Identiteitsbewijs Voor aanmelding en inschrijving is het Verwerken van een kopie Identiteitsbewijs toegestaan:
Wanneer de student geen EU nationaliteit heeft (t.b.v. de aanvraag voor een visum bij IND);
Bij study abroad verstrekt TiU een kopie Identiteitsbewijs aan de buitenlandse instelling4. Studenten geven hier expliciete Toestemming voor.
Voor identificatiedoeleinden is het inzien van een Identiteitsbewijs voldoende en is bewaren alleen toegestaan indien de kopie gemarkeerd (reden vermeld) en gemaskeerd is (foto en BSN doorgehaald). Zie voor meer informatie Beleid Privacy & Bescherming Persoonsgegeven paragraaf 4.4.2.
Toelatingstesten Studiezoekers leveren indien noodzakelijk ten behoeve voor de toelating ook informatie inzake toelatingstesten aan (bijvoorbeeld TOEFL, IELTS of statistiek).
Vreemdelingennummer Het Vreemdelingennummer wordt door Immigratie en Naturalisatiedienst via Studielink toegevoegd indien dit voor de desbetreffende student van toepassing is.
Internationale
studenten
Internationale studenten leveren ten behoeve van toelating een kopie diploma en cijferlijst (met indien noodzakelijk certified translation) en een kopie Identiteitsbewijs (op basis van de wettelijke verplichting in de WHW) aan. Indien zij reeds over een verblijfsvergunning beschikken ontvangt TiU hiervan ook een kopie (voor en achterkant).
Gedurende de tijd dat een student ingeschreven staat, wordt hij geacht zijn contactgegevens in
Studielink up-to-date te houden. Deze Persoonsgegevens worden, indien door student gemuteerd in
3 Zie voor meer informatie Beleid Privacy & Bescherming Persoonsgegevens paragraaf 4.3. 4 Dit is op verzoek van de partnerinstelling om ervan zeker te zijn dat ze deze informatie verstrekken. Student dient voor de verstrekking aan de andere universiteit expliciet Toestemming te geven voor het verstrekken van de informatie.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 13
Studielink, door Studielink doorgezet naar Osiris. Ook als de gegevens van betrokkene in het BRP
wijzigen, komen ze via Studielink in Osiris binnen.
4.2.1. Minderjarige studenten
In de meeste gevallen zijn studenten ouder dan 16 jaar. Toch kan het voor komen dat studenten
jonger zijn. Denk bijvoorbeeld aan scholieren die enkele vakken volgen, of die versneld hun VWO
diploma hebben gehaald. In de AVG zijn er aparte regels voor studenten die jonger zijn dan 16 jaar.
Minderjarigen Indien een student minderjarig is gelden de volgende regels:
Jonger dan 16 jaar: autorisatie door ouder/voogd.
16 jaar en ouder: autorisatie door student.
4.2.2. Actualisatie Persoonsgegevens
Studenten dienen wijzigingen in Persoonsgegevens in het algemeen via Studielink door te geven.
Ook worden gegevens die geactualiseerd worden in de Basisregistratie Personen geautomatiseerd
geactualiseerd in Osiris.
Actualiseren
Persoonsgegevens
Studenten worden twee keer per jaar door Student Administration met
een mail uit Osiris geïnformeerd om hun Persoonsgegevens in
Studielink te controleren en waar nodig te corrigeren.
4.3. Doorgifte van Persoonsgegevens aangemelde of ingeschreven studenten
De faculteiten hebben toegang tot de studentgegevens in Osiris, en kunnen uit dit systeem
aanmeldoverzichten genereren. De gegevens van de nieuw aangemelde studenten worden verstrekt
aan gelieerde instellingen zoals de Stichting Topweek (ten behoeve van de introductie),
studieverenigingen, studentenverenigingen. Het Sportcentrum (onderdeel van Tilburg University)
ontvangt deze gegevens ook.
Daarnaast helpt TiU internationale studenten door contactgegevens door te geven aan de GGD ten
behoeve van een TBC controle, de IND ten behoeve van de visumaanvraag, de gemeente ten
behoeve van de inschrijving en kamerbemiddelingsbureaus ten behoeve van huisvesting.
Recht op informatie Studenten worden door middel van Privacy Statement op de website en tijdens het aanmeldproces geïnformeerd over de doorgifte van Persoonsgegevens.
Directe toegang tot
Studentgegevens door
faculteit / divisies
Medewerkers van faculteiten en divisies hebben toegang tot de noodzakelijke Studenten en de noodzakelijke Persoonsgegevens in Osiris. Dit wordt geborgd door middel van autorisatieprofielen waarmee geregeld is dat medewerkers alleen toegang hebben tot de noodzakelijke studenten en de noodzakelijke Persoonsgegevens. Periodiek dient een controle uitgevoerd te worden om vast te stellen of medewerkers nog het juiste profiel hebben.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 14
INTERNE incidentele
verstrekking aan faculteit
en of divisies
In incidentele gevallen verstrekt Academic Services Persoonsgegevens aan de faculteit. Zie hiervoor richtlijnen voor incidentele verstrekkingen Beleid Privacy & Bescherming Persoonsgegevens – hoofdstuk 12.
EXTERNE verstrekking
contactgegevens aan
STICHTING TOPWEEK
STUDIEVERENIGING
STUDENTENVERENIGING
De doorgifte van Persoonsgegevens van nieuwe studenten betreffen contactgegevens en studiegegevens en worden slechts éénmalig verstrekt op basis van Verwerkingsgrondslag gerechtvaardigd belang en met het doel het verzorgen en faciliteren van aan onderwijs gerelateerde activiteiten. Hiervoor zijn een tweetal mogelijkheden (waarbij de eerste de voorkeur heeft) 1. TiU informeert de nieuwe studenten zelf over de
studievereniging, studentenvereniging en stichting topweek ten behoeve van introductie met daarbij informatie over hoe ze zich hiervoor kunnen aanmelden (op deze wijze hoeven geen Persoonsgegevens te worden verstrekt aan de derde partij).
2. TiU verstrekt slechts eenmalig bij aanvang van de studie de contactgegevens van de student. Daarna is deze partij zelf verantwoordelijk voor de administratie van haar deelnemers/leden.
Verstrek niet meer Persoonsgegevens dan strikt noodzakelijk.
Er is geen Verwerkersovereenkomst noodzakelijk omdat deze Stichtingen en Verenigingen zelf Verwerkingsverantwoordelijke zijn. Wel dienen er contractuele afspraken gemaakt te worden over de Persoonsgegevens die ze ontvangen en wat ze hiermee wel en niet mogen doen (zorgvuldigheidseisen). Zie Beleid Privacy & Bescherming Persoonsgegevens – paragraaf 11.4.
Studenten worden geïnformeerd dat we contactgegevens delen met de desbetreffende gelieerde instellingen door middel van Privacy Statement en in aanmeldingsdocumentatie (met mogelijkheid om aan te geven indien ze dit niet willen, zogenaamde opt-out).
Voor meer detail verwijzen we ook naar Themabeleid Externe relaties.
EXTERNE verstrekking aan
IMMIGRATIE EN
NATURALISATIE DIENST
(IND)
De doorgifte aan de IND inzake internationale studenten is gebaseerd op Verwerkingsgrondslag wettelijke verplichting (Wet arbeid vreemdelingen) en is daarmee toegestaan.
Studenten worden in het kader van transparantie geïnformeerd dat gegevens worden gedeeld.
Er hoeft geen Verwerkersovereenkomst afgesloten te worden.
EXTERNE verstrekking aan
GGD
De doorgifte van Persoonsgegevens van Internationale studenten aan de GGD wordt gedaan op basis van Verwerkingsgrondslag wettelijke verplichting ten behoeve van de TBC-controle.
Studenten worden in het kader van transparantie geïnformeerd dat gegevens worden gedeeld.
Er hoeft geen Verwerkersovereenkomst afgesloten te worden.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 15
EXTERNE verstrekking aan
GEMEENTE
De doorgifte van Persoonsgegevens van internationale studenten aan de gemeente wordt gedaan op basis van de Verwerkingsgrondslag gerechtvaardigd belang.5
Studenten worden in het kader van transparantie geïnformeerd dat gegevens worden gedeeld.
Er hoeft geen Verwerkersovereenkomst afgesloten te worden.
Externe verstrekking aan
KAMERBEMIDDELING
BUREAU
In aantal gevallen geeft TiU (International Office) Persoonsgegevens van internationale studenten door aan kamerbemiddelingsbureaus (als dienstverlening). De Verwerkingsgrondslag hiervoor is Toestemming. Deze toestemming geeft de student in de MySAS omgeving.
Er dient een overeenkomst afgesloten te worden met het desbetreffende kamerbemiddelingsbureau. Zie Beleid Privacy & Bescherming Persoonsgegevens – paragraaf 11.4.
EXTERNE verstrekking aan
PARTNER
UNIVERSITEITEN
In geval van een joint program en andere uitwisselingsprogramma’s geeft TIU Persoonsgegevens door aan een partneruniversiteit. De Verwerkingsgrondslag hiervoor is uitvoering van een overeenkomst.
Studenten worden in het kader van transparantie geïnformeerd dat gegevens worden gedeeld.
Er dient een overeenkomst afgesloten te worden met de desbetreffende partneruniversiteit.6 Zie Beleid Privacy & Bescherming Persoonsgegevens – paragraaf 11.4.
EXTERNE verstrekking aan
BEURS PROGRAMMA’S
(bijvoorbeeld Erasmus
plus)
Verwerkingsgrondslag is Toestemming student.
Studenten dienen in het kader van transparantie geïnformeerd te worden dat gegevens worden gedeeld.
Beursverstrekker is zelf Verwerkingsverantwoordelijke. Er hoeft geen Verwerkersovereenkomst afgesloten te worden maar in de licentie/hoofdovereenkomst dienen zorgvuldigheidsafspraken (zoals bijvoorbeeld gebruik, beveiliging te worden gemaakt). Zie Beleid Privacy & Bescherming Persoonsgegevens – paragraaf 11.4.
Beveiliging Bij het verstrekken van Persoonsgegevens aan derden is het van belang dat dit veilig gebeurt. Zie hiervoor hoofdstuk 9 van het Beleid Privacy & Bescherming Persoonsgegevens.
4.4. Communicatie met aangemelde / ingeschreven studenten
Gedurende de aanmeld- en inschrijfperiode vragen we ten behoeve van de inschrijving nog
informatie op bij de student. Hiervoor verwijzen we naar paragraaf 4.3.
5 Het is voor internationale studenten wettelijk verplicht dat zij ingeschreven zijn bij gemeente (voorwaarde voor hun visum) en noodzakelijk dat ze een BSN krijgen. Om dit proces te stroomlijnen en risico’s voor internationale studenten te verkleinen geeft TiU deze gegevens door aan de gemeente. 6 Indien het een incidentele uitwisseling is inzake een individuele student dan geldt deze verplichting niet. Er moeten dan wel Toestemming van de student verkregen worden, en de overdracht van Persoonsgegevens die veilig te gebeuren.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 16
Gedurende de aanmeld- en inschrijfperiode communiceren we met de student over bijvoorbeeld
informatie over activiteiten en diensten. Afhankelijk van de inhoud van de communicatie is er een
Verwerkingsgrondslag en mag dit wel of niet. De basisregel bij de communicatie naar studenten is
dat communicatie noodzakelijk moet zijn en je, je af moet vragen of het niet door middel van een
minder ingrijpende methode kan. Is het noodzakelijk dat je weet dat de student de informatie
ontvangt dan is een e-mail gerechtvaardigd. Is dit niet noodzakelijk dan zou communicatie op minder
ingrijpende wijze uitgevoerd moeten worden (bijvoorbeeld via informatieborden of Blackboard).
Communicatie over gewijzigde openingstijden van de bibliotheek zou bijvoorbeeld niet via e-mail
verstuurd mogen worden. We verwijzen hiervoor naar het Themabeleid Externe relaties.
Studenten melden zich ook bij Student Desk met vragen, dan wel stellen ze deze telefonisch of via
een e-mail. Het is dan van belang dat de desbetreffende medewerker, in geval het
Persoonsgegevens betreft, vaststelt of het de desbetreffende persoon is door middel van verificatie.
Identificatie bestaande
studenten
Studenten kunnen informatie opvragen bij bijvoorbeeld Student Desk. Het is hierbij belangrijk dat we de identiteit van de student controleren zodat we de informatie met betrekking tot Persoonsgegevens niet aan derden verstrekken. Dit kan door:
Fysieke identificatie door bijvoorbeeld laten zien van University card (met foto) of Identiteitsbewijs zodat de identiteit kan worden vastgesteld.
Telefonisch / e-mail: identiteit vaststellen door middel van verificatie vragen of een gemarkeerde/gemaskeerde versie van kopie Identiteitsbewijs.
Wijziging
bankrekeningnummer
Het wijzigen van bankrekeningnummers is risicovol (fraude) en daarom zijn er extra maatregelen geïmplementeerd om te waarborgen dat dit zorgvuldig gebeurt.
Student dient zich te identificeren zoals hierboven vermeld. Na identificatie dient de kopie van het Identiteitsbewijs verwijderd te worden.
Student levert een kopie bankpas aan met de gegevens van zijn nieuwe bankrekening. Deze kopie wordt in verband met audit trail (bewijs van wijziging) gearchiveerd.
NB: indien de bankrekening van een ander is (door student gemachtigd), dan dient tevens een kopie van het Identiteitsbewijs van deze derde en een kopie van zijn bankpas aangeleverd te worden. Kopie Identiteitsbewijs dient na verwerking verwijderd te worden.
4.5. Bewaartermijn
De basisregel voor het bewaren van Persoonsgegevens is dat deze niet langer dan noodzakelijk
of wettelijk verplicht mogen worden bewaard.
Als een studiezoeker (potentiële student) aan het einde van het aanmeldtraject niet aan alle
toelatingsvoorwaarden heeft voldaan, wordt hij niet ingeschreven en krijgt deze de status Inactief.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 17
Ook wanneer een eenmaal ingeschreven student zijn studie voortijdig beëindigt, zal de status op
Inactief ingesteld worden. De bewaartermijnen hierbij zijn:
Bewaartermijn Bewaartermijn is niet langer dan noodzakelijk of wettelijk verplicht. De bewaartermijn is vastgelegd in de Richtlijn bewaartermijnen studentgegevens7.
Vernietiging Vernietiging van Persoonsgegevens dient veilig te gebeuren. Zie Beleid Privacy & Bescherming Persoonsgegevens – paragraaf 7.2.
5. Studievoortgang
Indien een student is ingeschreven voor een studie, doorloopt hij een aantal fasen waarbij ook
Persoonsgegevens verwerkt worden. In dit hoofdstuk worden hierbij de belangrijkste richtlijnen
beschreven.
5.1. Volgen onderwijs
Voor de logistieke en inhoudelijke ondersteuning van het onderwijs worden relevante
studentgegevens met diverse interne partijen zoals Schools gedeeld. Een aantal voorbeelden
hiervan zijn Persoonsgegevens ten behoeve van roostering en werkcolleges, docenten over
studenten die aan hun onderwijs deelnemen en vakgroep secretariaten voor het inzamelen en
aftekenen van bijvoorbeeld papers en werkopdrachten. Deels wordt deze informatie
geautomatiseerd verstrekt, deels geschiedt deze gegevensoverdracht op verzoek.
Docenten mogen van hun studenten alleen de noodzakelijke Persoonsgegevens ontvangen.
Informatie docenten Docenten ontvangen alleen studentnummer, studentnaam en TiU-mailadres van hun studenten.
Voor de volgende onderwerpen verwijzen we naar DEEL II – levenscyclus onderwijs:
Roosteren colleges (samenstelling onderwijsgroepen) (paragraaf 7.1)
Learning analytics (paragraaf 8.1)
Video colleges (paragraaf 7.4)
7 Deze richtlijn wordt momenteel opgesteld.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 18
5.2. Tentaminering
Voordat een student daadwerkelijk een tentamenresultaat bijgeschreven krijgt in zijn
studievoortgangsoverzicht, wordt een aantal stadia doorlopen, waarbij in onderstaand overzicht ook
de aandachtspunten ten aanzien van de Verwerking van Persoonsgegevens zijn aangegeven:
5.2.1. Verwerkingsgrondslag
Tijdens dit proces wordt een aantal maal Persoonsgegevens van de studenten verwerkt. De
Verwerking van deze gegevens vloeit in principe voort uit de Wet op het Hoger onderwijs en
Wetenschappelijk onderzoek (WHW). Daarin is immers vastgelegd dat TiU een graad moet verlenen
aan studenten die met goed gevolg het examen van een van de aangeboden opleidingen heeft
afgelegd. Om dit vast te kunnen stellen, dienen de beoordelingen van de door hem afgelegde
tentamens aan hem te worden toegeschreven en op enige wijze te worden vastgelegd.
Verwerkingsgrondslag
tentaminering
Verwerkingsgrondslag voor tentaminering is noodzakelijk om te voldoen aan een wettelijke plicht in verband met verlening graad. TiU verwerkt bij tentaminering het studentnummer en de naam van de student in verband met zorgvuldigheid om persoonsverwarring en fouten bij het enkel hanteren van het studentnummer te voorkomen.
Doelbinding Vaststellen of een diploma of certificaat kan worden verleend.
5.2.2. Aanmelden voor tentamen
Een student kan zich voor een tentamen aanmelden via het online tentamenregistratiesysteem of via
de Student Desk.
Persoonsgegevens online
aanmelding
Student logt in met gebruikersnaam en wachtwoord (Single Sign On). De volgende Persoonsgegevens worden geregistreerd:
Studentnummer
Naam
Persoonsgegevens
aanmelding Student Desk
Bij aanmelding bij de Student Desk dient de student zich te legitimeren met zijn TiU kaart met pasfoto of een Identiteitsbewijs. De volgende Persoonsgegevens worden geregistreerd:
Studentnummer
Aanmelden tentamen
•aanmelden online
•aanmelden bij Student Desk
•specials
Afleggen tentamen
• informatie aan surveillant
• identificeren bij surveillant
Beoordelen tentamen
•cijferlijst docent
•publiceren / communiceren voorlopig resultaat
•Recht op inzage
Vastellen definitieve resultaat
•publiceren / communiceren definitief resultaat
•bewaartermijn
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 19
Naam
Tentamenplanning regulier De afdeling tentamenplanning plant vervolgens de student in voor het desbetreffende tentamen. De student wordt geautomatiseerd door het systeem toegewezen aan een plaats (zogenaamde seating). De planners zien het studentnummer en de naam van de studenten.
Tentamenplanning
Specials
De afdeling Tentamenplanning krijgt voor Specials alleen de voorzieningen die de student nodig heeft en nooit de redenen hiervoor.
5.2.3. Afleggen tentamen
Op het tentamenmoment meldt een student zich op de tentamenlocatie, identificeert deze zich bij de
surveillanten en legt het tentamen af.
Identificeren bij surveillant Een student identificeert zich bij de surveillant door middel van een geldig Identiteitsbewijs of uitdrukkelijk bepaald ander bewijs (zie Regels en Richtlijnen van de Examencommissies). De surveillant controleert dit aan de hand van de informatie op de Presentielijst.
Digitaal toetsen Student logt in op de desbetreffende werkplek voor het afleggen van een digitale toets en krijgt daarmee toegang tot het voor hem bedoelde tentamen in de digitale toets omgeving.
Presentielijsten De surveillanten beschikken over een presentielijst waarop van de studenten vermeld staan: Studentnummer, naam en geboortedatum ten behoeve van de controle van de identificatie. De presentielijst gaat naar de docent en een kopie zonder handtekening naar Student Administration. De Student Administration en Docenten bewaren deze presentielijst maximaal één jaar.
Tentamenpakket Tentamenpakket is niet persoonsgebonden. Student vermeldt hierop zelf zijn naam en studentnummer. De specials krijgen een geïndividualiseerd voorblad. Hierop staat enkel vermeld op welke voorziening hij recht heeft.
5.2.4. Beoordeling tentamen
Het tentamen wordt vervolgens beoordeeld door de examinator, waarna over het algemeen een
voorlopig resultaat bekendgemaakt wordt. Gezien de aard van dit gegeven (namelijk een indicator
van de kundigheid van de student op een bepaald gebied), is dit een Gevoelig Persoonsgegeven en
dient hier zeer zorgvuldig mee te worden omgegaan. De student heeft hierna Recht op inzage in het
door hem gemaakte werk, waarbij hij de gelegenheid heeft om vragen te stellen met betrekking tot
de beoordeling.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 20
Beoordeling door docent De docent beoordeelt de tentamens op basis van de uitwerkingen waarop studentnummer en naam student8 vermeld staan.
Publiceren /
communiceren van
voorlopig resultaat
Voorlopige tentamenresultaten mogen nooit openbaar via digitaal prikbord, Blackboard etc. gepubliceerd worden in verband met gevoeligheid hiervan.
Het Pseudonimiseren van de resultaten (dus enkel vermelden van studentnummer en resultaat) is niet voldoende, aangezien dit studentnummer eenvoudig kan worden herleid naar een specifieke persoon.
De (voorlopige) tentamenresultaten mogen dus enkel zichtbaar voor de desbetreffende student worden gepubliceerd.
5.2.5. Vaststellen van het definitieve resultaat
Na deze periode wordt het definitieve resultaat vastgesteld, en geregistreerd in het
studievoortgangssysteem (Osiris).
Vaststellen definitief resultaat De docent verwerkt het definitieve studieresultaat op een lijst die studentnummer en naam bevat9. Deze lijst gaat naar Student Administration voor Verwerking in het studie voortgangssysteem (Osiris). Student Administration ontvangt de cijferlijsten van de docent en archiveert deze digitaal na Verwerking in Osiris. In uitzonderlijke gevallen (bijvoorbeeld mondeling, individuele tentamens) worden tentamenresultaten verstrekt aan Student Administration door middel van een tentamenbriefje. Docent geeft student een afschrift van dit tentamenbriefje. Student Administration verwerkt deze in Osiris.
Communiceren van definitief
tentamenresultaat
Definitieve tentamenresultaten mogen alleen naar Student persoonlijk worden gecommuniceerd op basis van Osiris en nooit openbaar worden gepubliceerd.
Tentamenresultaten zijn voor studenten inzichtelijk in een applicatie waarvoor hij persoonlijk inlogt10.
Opnemen van mondelinge
tentamens
Indien mondelinge tentamens worden opgenomen (zie Regels en Richtlijnen van de Examencommissies):
Bewaren en opslaan van deze audio-opnames dient veilig (centraal bij een departement) te gebeuren en alleen toegankelijk te zijn voor docent en departement secretariaten.
Bewaartermijn is gelijk aan schriftelijke tentamens.
8 In verband met zorgvuldigheid om persoonsverwarring en fouten te voorkomen bij uitsluitend hanteren van het studentnummer wordt ook naam student verwerkt. 9 In verband met zorgvuldigheid om persoonsverwarring en fouten te voorkomen bij het uitsluitend hanteren van het studentnummer wordt ook naam van de student verwerkt. 10 Momenteel is deze applicatie nog Blackboard: mijn studievoortgang. In de toekomst wordt dit Osiris Student.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 21
Bij internationale studenten kan het voor komen dat in het kader van een beurs de beursverstrekker
of partneruniversiteiten informatie over de studievoortgang in de vorm van tentamenresultaten willen
ontvangen. Hiervoor gelden de volgende regels:
Verstrekken
tentamenresultaten aan
EXTERNE partijen
Basisregel is dat tentamenresultaten in verband met gevoeligheid nooit mogen gecommuniceerd aan externe partijen. Student dient hier zelf zorg voor te dragen. Een uitzondering is:
Het verstrekken van tentamenresultaten aan beursverstrekker of partneruniversiteit indien de student hier door middel van Toestemmingsverklaring akkoord voor heeft gegeven.
5.2.6. Inzage
In de WHW is bepaald dat in de Onderwijs- en examenregeling dient de wijze te worden vastgelegd
waarop en gedurende welke termijn de student inzage kan verkrijgen in zijn beoordeelde werk. Op
basis van jurisprudentie is echter gebleken dat de antwoorden van de student en de eventueel
daarbij gemaakte opmerkingen van de examinator gezien moeten worden als Persoonsgegevens in
de zin van richtlijn 95/46/EG (voorloper van de AVG).11 Het ligt daarom voor de hand dat deze
gegevens ook Persoonsgegevens zijn in de zin van de AVG. Dit betekent derhalve dat, zo lang het
gemaakte werk van de student wordt bewaard, studenten op elk gewenst moment deze antwoorden
kunnen opvragen, ongeacht wat er in de OER hieromtrent is bepaald.
De term ‘inzage’, zoals gebruikt aan Tilburg University, omvat echter ook de mogelijkheid voor de
student om kennis te nemen van de vragen c.q. opdrachten gesteld of gegeven in het kader van een
schriftelijk afgenomen tentamen, de normen aan de hand waarvan de beoordeling heeft
plaatsgevonden en het vragen om toelichting van de docent over de beoordeling. In de OER’en kan
wel worden bepaald tijdens welke termijn c.q. op welk moment de student recht heeft op deze
onderdelen van de inzage.
Inzage tentamen In principe hebben studenten op basis van de OER recht op inzage van tentamens en hebben ze de mogelijkheid om in beroep te gaan tegen het vastgestelde resultaat. Hiervoor gelden bepaalde termijnen (zie OER’en en de WHW). Ook op basis van de AVG hebben studenten recht op inzage op tentamens, en mogen zij een kopie ontvangen. Hiervoor gelden de volgende richtlijnen:
Studenten hebben recht op inzage en recht op kopie. Er hoeft echter geen kopie van de opgaven of voorbeelduitwerking te worden verstrekt, alleen van de
uitwerkingen. In geval van audio-opnames mag student deze ook inzien (horen).
De student mag ook de aantekeningen die de docent bij de uitwerking heeft gemaakt inzien (bijv. feedback).
Indien een student buiten de aangehaalde termijnen op basis van het recht op inzage (AVG) de
11 HvJ EU 20 december 2017, C-434/16, ECLI:EU:C:2017:994 (Nowak)
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 22
tentamenuitwerkingen opvraagt of inziet, dan betekent dat niet dat inhoudelijk met de docent hierover gecorrespondeerd kan worden of dat de resultaten nog worden aangepast.
5.2.7. Bewaartermijn tentamens
Tentamenresultaten dienen in verband met bezwaar- en beroepsprocedures en accreditatie
(verantwoordingsplicht) van het onderwijs bewaard te blijven. Hiervoor gelden de volgende
richtlijnen.
Bewaartermijn
tentamenresultaten
Tentamenuitwerkingen worden minimaal/maximaal zeven jaar bewaard na tentamendatum in verband met bewijslast ten behoeve van visitatie/accreditatie. Indien er een klacht, bezwaar- of beroepsprocedure loopt wordt deze termijn verlengd tot maximaal het einde van de beroepsperiode.
Vernietiging tentamens Het departement is verantwoordelijk voor het vernietigen van de tentamens. Vernietiging van tentamenmateriaal dient veilig te gebeuren. Zie Beleid Privacy & Bescherming Persoonsgegevens paragraaf 7.2.
5.2.8. Bachelor- en masterscripties
De bachelor- en masteropleidingen worden afgesloten met een scriptie. Deze scriptie is in feite een
bijzondere vorm van tentaminering. De regels zoals gesteld onder paragraaf 5.2 zijn hierop dan ook
van toepassing. Wel kent de scriptie een aantal bijzondere kenmerken, die hieronder worden
uiteengezet.
Rechten m.b.t. onderzoek In het kader van de scripties/papers is het mogelijk dat Persoonsgegevens van respondenten worden verwerkt. Alle hiervoor geldende spelregels (zoals de rechten van respondenten) zijn beschreven in het Themabeleid Wetenschappelijk onderzoek12, tenzij hier specifiek anders vermeld.
Persoonsgegevens
scriptie
Voor zover de student niet zelf andere Persoonsgegevens toevoegt, bevat de scriptie uitsluitend de volgende gegevens:
Naam student
Studentnummer
Opleiding
Jaar van afstuderen
Naam examinator
Naam tweede beoordelaar
Bewaartermijn In lijn met de bewaartermijn voor tentamens, dienen scripties die met goed gevolg zijn afgelegd zeven jaar te worden bewaard. Voor de onderzoeksgegevens / datasets die verzameld zijn tijdens
12 Dit Themabeleid is onder andere gebaseerd op de Gedragscode Gebruik Persoonsgegevens in Wetenschappelijk Onderzoek van de Vereniging Samenwerkende Universiteiten (VSNU).
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 23
het opstellen van deze scripties gelden de bewaartermijnen zoals opgenomen zijn in het Themabeleid Wetenschappelijk onderzoek.
Een bijzonder aspect van de masterscriptie is dat deze gepubliceerd kan worden in de bibliotheek
van Tilburg University. De procedure staat beschreven op de website van TiU13. Bij deze publicatie
wordt een aantal Persoonsgegevens in de database van de bibliotheek vastgelegd, namelijk naam,
studentnummer, opleiding en het jaar van afstuderen. De scriptie wordt namelijk full tekst online
openbaar toegankelijk gemaakt (en is bijvoorbeeld terug te vinden via Google).
Publicatie masterscriptie
in bibliotheek
Studenten moeten expliciet Toestemming geven voor publicatie van hun scriptie in de bibliotheek (opt-in). Wanneer Toestemming wordt gegeven, worden, voor zover de student niet zelf andere Persoonsgegevens toevoegt, de volgende Persoonsgegevens verwerkt:
Naam student
Studentnummer
Opleiding
Jaar van afstuderen
Naam examinator
Naam tweede beoordelaar. Studenten kunnen te allen tijde te kennen geven dat hun scriptie niet langer in de bibliotheek mag worden bewaard.
5.2.9. Delen van studieresultaten
Bij sommige beursprogramma’s vereist de beursverstrekker inzage in de studieresultaten. Ook komt
het voor dat resultaten gedeeld worden met partneruniversiteiten indien een student hier op
exchange zijn.
Delen van studievoortgang
met IND
Voor studenten met een visum met als verblijfsdoel ‘studie’ verstrekt TiU jaarlijks aan de IND op basis van wettelijke verplichting14 een verklaring indien ze onvoldoende studievoortgang hebben om hun verblijfsvergunning te behouden.
Delen van studieresultaten
met DERDEN –
beursorganisaties /
partneruniversiteiten
Algemeen uitgangspunt is dat de student zelf verantwoordelijk is voor het delen van studieresultaten met derden. In principe verstrekt TiU deze niet rechtstreeks aan derden tenzij student hier specifiek Toestemming voor heeft gegeven.
13 https://www.tilburguniversity.edu/nl/studenten/studie/universiteitsbibliotheek/schrijf-en-
informatievaardigheden/afstudeerscriptie-publiceren/ 14 Artikel 4.43 lid 1 Vreemdelingenbesluit jo. artikel 4.17 jo. artikel 4.20 lid 1 sub e Voorschrift Vreemdelingen jo. artikel 5.5 Gedragscode Internationale Student Hoger Onderwijs.
https://www.tilburguniversity.edu/nl/studenten/studie/universiteitsbibliotheek/schrijf-en-informatievaardigheden/afstudeerscriptie-publiceren/https://www.tilburguniversity.edu/nl/studenten/studie/universiteitsbibliotheek/schrijf-en-informatievaardigheden/afstudeerscriptie-publiceren/
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 24
5.3. Stages en studiereizen
Het komt voor dat studentgegevens in het kader van studiereizen of stages met externe partijen
worden gedeeld. Hiervoor gelden de volgende richtlijnen:
Delen van
studentgegevens met
DERDEN – studiereis stage
Algemeen uitgangspunt is dat de student zelf verantwoordelijk is voor het delen van de informatie met derden. In principe verstrekt TiU deze niet rechtstreeks aan derden tenzij student hier specifiek Toestemming voor heeft gegeven. Indien het een incidentele verstrekking is (individuele student met incidentele organisatie), dan hoeft er geen overeenkomst voor de verstrekking van de Persoonsgegevens afgesloten te worden. Indien er meer structureel (vaker) met een organisatie wordt samengewerkt (bijvoorbeeld stagebureau, reisorganisatie), dan dient een overeenkomst afgesloten te worden met die andere organisatie. Zie Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.4.
5.4. Studentenbegeleiding
Studenten kunnen voor, tijdens en na hun studieperiode begeleiding krijgen van een mentor,
onderwijscoördinator, studentendecaan, topsport coördinator, studentenpsycholoog, de
studentenpastor en de studiekeuze –en loopbaancoach.
Verwerkingsgrondslag en
doel
De Verwerkingsgrondslag voor het Verwerken van Persoonsgegevens inzake studentenbegeleiding is voor bepaalde onderdelen van studentenbegeleiding, zoals het verstrekken van Bindend Studieadvies (BSA) een wettelijke grondslag. Voor de overige Verwerkingen: op basis van studieovereenkomst. Het doel van de Verwerking van deze Persoonsgegevens is de begeleiding van studenten of het geven van studieadvies.
Bijzondere
Persoonsgegevens
Voor Bijzondere Persoonsgegevens geldt in principe een Verwerkingsverbod in de wet. Uitzondering voor studentbegeleiding is:
Studentpsycholoog: uitzondering op basis van de medische wetgeving.
Overige: uitzondering voor zover het gaat om gezondheidsgegevens en de Verwerking met het oog op de speciale begeleiding van studenten of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is. Indien hiervan geen sprake is dan dient specifiek Toestemming gegeven te worden door de student voor de Verwerking van Bijzondere Persoonsgegevens (Informed consent).
Persoonsgegevens
aanmelding
Studenten melden zich online of via Student Desk aan voor begeleiding en verstrekken hierbij alleen de noodzakelijke informatie: studentnummer, naam en e-mailadres / telefoonnummer.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 25
Burgerservicenummer Studentendecanen ontvangen bij de procedure van financiële compensatie via DUO ook het Burgerservicenummer van de student. Formulier wordt door studentendecaan alleen ondertekend en gestempeld en verzonden naar DUO. In archief zit een kopie met BSN.
Tijdens de begeleidende contacten (face to face, per email of telefonisch) kan de student Bijzondere
of Gevoelige persoonsgegevens verstrekken (zie Beleid Privacy & Bescherming
Persoonsgegevens paragraaf 4.3).
Verwerking
Persoonsgegevens tijdens
begeleiding
De begeleider verwerkt tijdens de begeleiding Persoonsgegevens en legt deze vast in het begeleidingsdossier:
Alleen noodzakelijke Persoonsgegevens worden vastgelegd (dataminimalisatie).
Bijzondere Persoonsgegevens mogen worden verwerkt indien het noodzakelijk is voor de begeleiding en de student hier specifiek Toestemming voor geeft.
Gevoelige Persoonsgegevens (zoals bijvoorbeeld bankrekeningnummers) mogen verwerkt worden indien dit noodzakelijk is.
Begeleidingsdossier dient alleen toegankelijk te zijn voor begeleider en collega’s met zelfde functie. Uitzondering is Studentpsychologen, zij werken volgens de Wet BIG en NIP codes.
Begeleidingsdossier (digitaal en/of papier) dient veilig bewaard te blijven (zie hoofdstuk 9 Beleid Privacy & Bescherming Persoonsgegevens).
NB: de studentpastor verwerkt geen aantekeningen in een begeleidingsdossier.
Bewaartermijn
begeleidingsdossiers
Studentpsychologen: 15 jaar op basis van wetgeving. Overige: 10 jaar in verband met afstemming met DUO diplomatermijn.
Tussen de diverse (interne) disciplines onderling en met relevante externen kunnen zowel
incidenteel als structureel met uitdrukkelijke Toestemming van de student (Bijzondere)
Persoonsgegevens worden uitgewisseld. Dit gebeurt met zo min mogelijke informatie en alleen voor
zover het noodzakelijk is voor het doel.
Uitwisseling
Persoonsgegevens tussen
interne disciplines
Uitwisseling (schriftelijk of mondeling) met andere interne disciplines:
alleen indien noodzakelijk voor de begeleiding van de student en/of het verstrekken van studentadvies of
alleen met uitdrukkelijke (schriftelijke) Toestemming van de student.
Uitwisseling
Persoonsgegevens
externe organisaties
Uitwisseling (schriftelijk of mondeling) met andere externe organisaties:
Studentdecanen wisselen informatie uit met DUO en Verwerken hierbij ook het Burgerservicenummer.
Overige uitwisseling van Persoonsgegevens: alleen indien noodzakelijk voor de begeleiding van de student én
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 26
o alleen met uitdrukkelijke (schriftelijke) Toestemming van de student.
UITZONDERING: alleen indien er sprake is van een (medische) noodsituatie mag bepaalde informatie verstrekt worden in het kader van grondslag vitaal belang.
Inzagerecht Voor de hoofdregel inzake Inzagerecht verwijzen we naar Beleid Privacy & Bescherming Persoonsgegevens hoofdstuk 10. Studenten hebben Inzagerecht in de over hen vastgelegde Persoonsgegevens in hun studentendossier waarbij een uitzondering geldt voor interne notities die de persoonlijke gedachten van de medewerkers bevatten en die uitsluitend zijn bedoeld voor intern overleg en beraad. Op het moment dat interne notities verder worden gedeeld vallen deze aantekeningen niet meer onder deze uitzondering, en is het Inzagerecht daar op van toepassing. De interne notities die onder deze uitzondering vallen mogen alleen toegankelijk zijn voor die collega’s waarmee intern overleg/beraad dient plaats te vinden.
In sommige situaties wordt gewerkt met externe begeleiders zoals bijvoorbeeld coaches:
Externe begeleiders Sprake van intern beheer en dus geen Verwerkingsverantwoordelijke-Verwerker verhouding. Met een ZZP’er die instructies krijgt hoeft geen Verwerkersovereenkomst te worden afgesloten. Voorbeeld: instructie waarbij ook procedure wordt gegeven aan ZZP-er hoe het moet.
Externe begeleiders –
ZZP’er waarvan primaire
opdracht is Verwerken van
Persoonsgegevens en hij
krijgt geen instructies
Indien TiU een ZZP’er de opdracht geeft om Persoonsgegevens te Verwerken maar niet de instructie hoe dat te doen (bijvoorbeeld coach studenten) dan is de betreffende ZZP’er een Verwerker. In dit geval dient een Verwerkersovereenkomst gesloten te worden. Zie Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.4.
Externe Begeleiders –
ZZP’er waarvan primaire
opdracht niet Verwerken
van Persoonsgegevens is
en hij krijgt geen
instructies
Primaire opdracht is niet het Verwerken van Persoonsgegevens: ZZP’er is zelf Verwerkingsverantwoordelijke - geen Verwerkersovereenkomst noodzakelijk, wel in opdracht contractuele afspraken inzake zorgvuldigheid. Zie Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.4.
5.4.1. Centraal Loket Geschillen en Klachten
Studenten kunnen een klacht, bezwaar of beroep indienen bij het Centraal Loket Geschillen en
Klachten (CLGK). Deze klachten zijn niet anoniem, en worden door de klachtenbeheerder
doorgestuurd naar degene die de klacht moet afhandelen. Anonimiteit is niet mogelijk omdat het
principe van hoor- en wederhoor moet kunnen worden toegepast en anonimiteit in de weg staat het
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 27
doel van de Verwerking te bereiken. Voor behandeling van klachten, bezwaar en beroep gelden de
volgende richtlijnen.
Verwerkingsgrondslag en
doel
De Verwerkingsgrondslag voor het Verwerken van Persoonsgegevens inzake klachten, bezwaren en beroepen is wettelijke grondslag (artikel 7.59a e.v. WHW). Het doel van de Verwerking van deze Persoonsgegevens is de het behandelen van klachten en geschillen.
Persoonsgegevens
aanmelding
Studenten dienen een klacht, bezwaar of beroep in bij het CLGK. Dit kan online of per post. De student Verstrekt hierbij alleen de noodzakelijke informatie: Studentnummer, naam en e-mailadres, adres, telefoonnummer, opleiding en faculteit, aanvang van de studie, de gedraging/beslissing waartegen de klacht is gericht en de gronden van de klacht/het bezwaar/beroep. Bij offline indiening moet de student tevens een handtekening verstrekken.
Doorverwijzing Klachtenbehandelaar verwijst de klacht/het geschil voor behandeling door naar de desbetreffende interne afdeling. Hierbij worden alleen de noodzakelijke Persoonsgegevens vermeld. Een bezwaar/beroep wordt in zijn geheel doorgezet.
Verwerking
Persoonsgegevens tijdens
klachtbehandeling
De behandelaar verwerkt tijdens de afhandeling van de klacht, bezwaar of beroep Persoonsgegevens en legt deze vast in het dossier:
Alleen noodzakelijke Persoonsgegevens worden vastgelegd (dataminimalisatie).
Bijzondere Persoonsgegevens mogen worden verwerkt indien het noodzakelijk is voor de afhandeling van de klacht en de student hier specifiek Toestemming voor geeft.
Klachten-/geschillendossier dient alleen toegankelijk te zijn voor behandelaar en collega’s met zelfde functie en bij bezwaar/beroep het secretariaat.
Klachten-/geschillendossier (digitaal en/of papier) dient veilig bewaard te blijven (zie hoofdstuk 9 Beleid Privacy & Bescherming Persoonsgegevens).
5.5. Diplomering
Diplomering in het kader van de bacheloropleiding geschiedt binnen TiU op dit moment
administratief. Zodra de diplomeeradministratie constateert dat de student aan alle voorwaarden
voor een diploma voldaan heeft, worden de diplomastukken geproduceerd. Deze stukken bevatten
deels ook Gevoelige Persoonsgegevens, zoals resultaten en judicia. Diploma’s worden op verzoek
van de student uitgereikt tijdens diploma-uitreiking georganiseerd door EST.
Bachelor diploma’s De bachelor diploma’s bevatten naast Persoonsgegevens ook Gevoelige Persoonsgegevens en derhalve gelden de volgende richtlijnen:
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 28
Alleen toegankelijk voor noodzakelijke medewerkers (Student Desk, Student Administration en medewerkers Education Support Teams).
Bewaren en aanleveren aan EST voor de diploma uitreiking dient goed beveiligd te worden.
Niet uitgereikte diploma’s worden bij de Student Desk bewaard (adequaat beveiligd).
Diplomering in de masteropleidingen geschiedt over het algemeen op individuele basis, de student
doet een aanvraag bij de Student Desk. Als de Volgadministratie constateert dat de student aan de
voorwaarden voor diplomering voldoet worden de stukken geproduceerd (ook hier gaat het deels om
extra gevoelige informatie) en aan de Examencommissie verzonden (NB dit is de Examencommissie
die een oordeel vormt over de specifieke student).
Master diploma’s De Master diploma’s bevatten naast Persoonsgegevens ook Gevoelige Persoonsgegevens en derhalve gelden de volgende richtlijnen:
Alleen toegankelijk voor noodzakelijke medewerkers (Student Desk, Student Administration, Examencommissie en medewerkers Education Support Teams).
Bewaren en aanleveren aan Examencommissie voor de diploma uitreiking dient goed beveiligd te worden.
5.5.1. Diplomaverificatie
Het komt regelmatig voor dat er verzoeken ontvangen worden om diploma’s van Tilburg University
te verifiëren. Hieronder zijn de richtlijnen hiervoor opgenomen:
Verstrekken informatie aan
externe partijen tbv
diplomaverificatie
Om privacy redenen verstrekt Tilburg University nooit informatie
over (voormalige) studenten aan andere personen of organisaties
zonder een getekende autorisatie van de student in kwestie.
Een verzoek tot verificatie van een diploma wordt daarom alleen in
behandeling genomen, als er ook een schriftelijke verklaring is
bijgevoegd waarin de betrokken alumni die Toestemming geeft. In
dat geval zal de behaalde graad en de datum waarop deze is
behaald worden verstrekt.
Let op: de handtekening op het toestemmingsformulier dient
geverifieerd te worden met een (gemarkeerde en gemaskeerde)
kopie ID (zie Beleid Privacy & Bescherming
Persoonsgegevens paragraaf 4.4.2).
5.6. Uitschrijven student
Een student kan zich gedurende een opleiding of na succesvol afronden van een opleiding
uitschrijven via Studielink. Studielink wisselt nog gegevens uit met Osiris tot het account van student
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 29
is verwijderd (nergens meer actieve aanmelding/inschrijving) of totdat Student Administration via de
jaarlijkse opschoning de relatie ontkoppelt.
Bewaartermijn
uitgeschreven studenten
Zie archiveringsprotocol Osiris waarin is vastgelegd wat de bewaartermijnen zijn van Persoonsgegevens in Osiris. Voor de overige studentgegevens zie Richtlijn bewaartermijnen studentgegevens15.
INTERNE informatie
verstrekking aan DARO
DARO ontvangt structureel de volgende informatie van studenten: studentnummer, contactgegevens en opleidingsgegevens.
5.7. Alumni
Het beheer van alumni is beschreven in het Themabeleid Externe relaties.
15 Deze richtlijn wordt momenteel opgesteld.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 30
Deel II: ONDERWIJS
In dit deel wordt een uitwerking gegeven van de richtlijnen voor het Verwerken van
Persoonsgegevens afgeleid uit de AVG aan de hand van de levenscyclus van onderwijs. In dit deel
van het beleid wordt ingezoomd op het gebruik van de Persoonsgegevens van de student.
Deze cyclus bevat de volgende fases:
Het Tilburg Education Profile (TEP) gaat er vanuit dat studenten op de universiteit zich ontwikkelen
op het gebied van Kennis, Kunde en Karakter. Een student volgt hiertoe onderwijs. Dit volgen van
onderwijs is onderdeel van de overeenkomst die gesloten is tussen de student en de universiteit: de
student betaalt collegegeld en de universiteit biedt in ruil daarvoor onderwijs en geeft inzicht in de
studievoortgang van de student.
6. Ontwikkelen onderwijs
6.1. Beleidskaders
Voordat een student onderwijs kan volgen aan de universiteit, moet het onderwijs ontwikkeld
worden. Deze ontwikkeling start met het vaststellen van heldere kaders en beleid voor het onderwijs.
Dit gebeurt zowel op overkoepelend niveau als op het niveau van de Schools. Hiervoor wordt
gebruik gemaakt van sturingsinformatie. Deze sturingsinformatie bestaat onder andere uit student
analytics (waaronder nationaliteit en geslacht) en learning analytics (waaronder doorstroom en
leeropbrengsten). Hierbij mogen geen Bijzondere Persoonsgegevens worden geregistreerd. Het
belang van de studenten staat centraal: Student Analytics draagt bij aan onpartijdige en een
inclusieve deelname aan onderwijs door informatie en inzichten te bieden die bijdragen aan de
kwaliteit van onderwijs en onderwijsondersteuning. Student Analytics wordt op zo’n manier
toegepast dat:
1. nooit in strijd wordt gehandeld met de AVG en de rechten en belangen van studenten altijd
voorop staan en worden gerespecteerd.
2. bij de inzet van Student Analytics altijd een afweging wordt gemaakt maakt tussen voor- en
eventuele nadelen; en
3. nooit een onevenredige inbreuk wordt gemaakt op de privacy van studenten.
Ontwikkelen onderwijs
UItvoeren onderwijs
EvaluerenVerbeteren onderwijs
accreditatie
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 31
Verwerkingsgrondslag en
doel
De Verwerkingsgrondslag voor het gebruik van Persoonsgegevens ten behoeve van de ontwikkeling van onderwijs (student analytics & learning analytics) is gerechtvaardigd belang.16
Het doel van de Verwerking van Persoonsgegevens is onderwijsontwikkeling en verbetering.
Bij deze analyses mogen nooit Bijzondere Persoonsgegevens worden gebruikt.
Toegang tot
Persoonsgegevens
De Persoonsgegevens ten behoeve van de analyses komen uit bronsystemen.
Alleen degene die op basis van deze Persoonsgegevens de management informatie (dashboards en stuurkaarten) opstelt, heeft toegang tot de Persoonsgegevens.
De Persoonsgegevens zullen in een zo vroeg mogelijk stadium worden Geanonimiseerd.
De managementinformatie bevat alleen Geanonimiseerde gegevens op een dusdanig aggregatie niveau dat herleiden naar individuele personen niet mogelijk is.
Let op: indien deze informatie door een externe partij wordt geaggregeerd, dan dient een Verwerkersovereenkomst te worden opgesteld (zie Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.4).
6.2. Onderwijs ontwikkeling – programma en course niveau
Ook voor het daadwerkelijk ontwikkelen van onderwijs op programma- en course niveau wordt
gebruik gemaakt van student- en learning analytics. Hiervoor gelden dezelfde regels als bij de
beleidsvorming.
Verwerkingsgrondslag en
doel
De Verwerkingsgrondslag voor het gebruik van Persoonsgegevens ten behoeve van de ontwikkeling van onderwijs op programma- en course niveau (student analytics & learning analytics) is gerechtvaardigd belang.
Het doel van de Verwerking van Persoonsgegevens is onderwijsontwikkeling en verbetering.
Bij deze analyses mogen nooit Bijzondere Persoonsgegevens worden gebruikt.
Toegang tot
Persoonsgegevens
De Persoonsgegevens ten behoeve van de analyses komen uit bronsystemen.
Alleen noodzakelijke Persoonsgegevens mogen worden verzameld.
16 Student Analytics biedt evidence based, actiegerichte inzichten voor de verbetering van instroom, doorstroom, uitstroom en succes op de arbeidsmarkt van studenten in bachelor, premaster en master opleidingen van TiU. Het belang van de universiteit om studievertraging, onnodige uitval en verkeerde studiekeuzes te voorkomen, en goed onderbouwde beleidskeuzes te maken en zo optimaal mogelijk bij te dragen aan de strategische doelstellingen van TiU.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 32
Alleen degene die op basis van deze Persoonsgegevens de management informatie (dashboards en stuurkaarten) opstelt heeft toegang tot de Persoonsgegevens.
De Persoonsgegevens zullen in een zo vroeg mogelijk stadium worden Geanonimiseerd.
De Managementinformatie bevat alleen Geanonimiseerde gegevens op een dusdanig aggregatie niveau dat herleiden naar individuele personen niet mogelijk is.
Let op: indien deze informatie door een externe partij wordt geaggregeerd dan dient een Verwerkersovereenkomst te worden opgesteld (zie Beleid Privacy & Bescherming Persoonsgegevens paragraaf 11.4).
Daarnaast wordt binnen het onderwijs gebruik gemaakt van casuïstiek, denk bijvoorbeeld aan het
gebruik van juridische arresten, maar ook het gebruik van voorbeelden uit de dagelijkse werkpraktijk.
Hierbij wordt zoveel mogelijk verwezen naar andere bronnen zoals het daadwerkelijk gepubliceerde
arrest, waarbij TiU de Persoonsgegevens niet daadwerkelijk zelf registreert en verwerkt. Wanneer
casuïstiek wel zelf wordt opgeslagen, bijvoorbeeld voor het gebruik in colleges of tentamens, wordt
dit eerst Geanonimiseerd alvorens het gebruikt wordt. Voor gebruik van onderzoeksgegevens bij de
ontwikkeling van onderwijs (denk bijvoorbeeld aan het gebruik van wetenschappelijke onderzoeken
in een onderwijsomgeving of het beschikbaar stellen van wetenschappelijke onderzoeken aan
studenten) gelden de regels zoals opgenomen in het Themabeleid Wetenschappelijk onderzoek.
Gebruik
Persoonsgegevens in
casuïstiek
Casuïstiek die gebruikt wordt voor onderwijsdoeleinden dient Geanonimiseerd te zijn.
7. Uitvoeren onderwijs
7.1. Samenstelling onderwijsgroepen (roosteren studenten)
Bij het roosteren van de colleges (per semester) Verwerken de roosteraars het ANR, de naam en de
beschikbaarheid van de docent. Voor de toekenning van de zalen aan een bepaald vak gaan zij voor
de hoorcolleges uit van inschattingen vooraf van de te verwachten groepsgrootte. De lesgroepen
worden niet samengesteld door de roosteraars maar door de Education Suppport Teams binnen de
faculteit. Niet-eerstejaars studenten schrijven zelf in voor de beschikbare werkcolleges.
Verwerkingsgrondslag Verwerkingsgrondslag voor roosteren colleges is noodzakelijk voor uitvoering overeenkomst in verband met volgen van onderwijs. TiU verwerkt bij roostering het studentnummer en de naam van de student in verband met zorgvuldigheid om persoonsverwarring en fouten bij het enkel hanteren van het studentnummer te voorkomen.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 33
Doelbinding De organisatie van en het geven van het onderwijs.
Persoonsgegevens Voor roostering mogen alleen de volgende Persoonsgegevens
worden verwerkt:
Studentnummer (ANR)
Naam student
Naam docent
Ten behoeve van eventueel noodzakelijke maatregelen
(voorzieningen) voor studenten met medische problemen worden
maatregelen vastgesteld en deze worden gecommuniceerd aan
roosteraars. De medische gegevens worden nooit doorgegeven.17
7.2. Gebruik van casuïstiek, voorbeelden en onderzoeksgegevens binnen het onderwijs
Zoals hierboven reeds aangegeven wordt er binnen het onderwijs gebruik gemaakt van casuïstiek,
voorbeelden en onderzoeksgegevens waarbinnen Persoonsgegevens terug kunnen komen. Net als
bij de ontwikkeling van onderwijs, geldt ook bij de uitvoering van onderwijs dat er zoveel als mogelijk
moet worden verwezen naar andere vindplaatsen. Op het moment dat het toch noodzakelijk is
gegevens op te nemen in het onderwijs, bijvoorbeeld in PowerPoints, tentamens of materiaal
gepubliceerd binnen een LMS, dan dient dit vooraf Geanonimiseerd te worden. Wanneer gebruik
gemaakt wordt van de gegevens van de aanwezige studentpopulatie, is dit ook het geval. Gebruikte
gegevens mogen dan niet herleidbaar zijn naar de verschillende individuele studenten. Wanneer de
gegevens wel herleidbaar zijn naar de verschillende studenten, bijvoorbeeld wanneer er sprake is
van een kleine groep, kan dit enkel wanneer de individuele student hier vooraf uitdrukkelijk
schriftelijk Toestemming heeft gegeven.
Gebruik
Persoonsgegevens in
casuïstiek
Basisregel is dat bij gebruik casuïstiek nooit Persoonsgegevens mogen worden verwerkt / gebruikt of herleidbaar zijn naar individuele Personen. De informatie dient volledig Geanonimiseerd te zijn. Alleen als de Betrokkene expliciet schriftelijk Toestemming heeft verleend mogen herleidbare Persoonsgegevens worden gebruikt. Voorbeelden:
Indien casuïstiek voortkomt uit een openbare bron en als deze persoon dat zelf bewust openbaar heeft gemaakt, mag dat worden gebruikt.
Nieuwsuitingen mogen wel gebruikt worden.
Voor een opleiding wordt gebruik gemaakt van video-opnames die gemaakt zijn van Respondenten in een wetenschappelijk
17 In uitzonderlijke gevallen melden studenten zich zelf bij een roosteraar met (tijdelijke) medische problemen met verzoek om hier rekening mee te houden bij het roosteren. Omdat het in dit geval gaat om gezondheidsgegevens maar de Verwerking met het oog op de speciale begeleiding van studenten of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is, is dat toegestaan.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 34
onderzoek. Dit is alleen toegestaan indien Respondent hiervoor specifiek toestemming heeft gegeven. Zie Themabeleid Wetenschappelijk onderzoek.
Voor statistiekvakken wil men gebruik maken van actuele data van studenten (bijvoorbeeld student analytics). Dit is niet toegestaan tenzij er sprake is van specifieke Toestemming van de desbetreffende studenten.
Let op: als Persoonsgegevens geaggregeerd worden kan het door de omvang van een ‘groep’ toch zijn dat gegevens Herleidbaar zijn naar een individueel persoon. Dit is niet toegestaan.
7.3. Studentenlijsten, aanwezigheidsregistratie, registratie uitvoeren van deelopdrachten
Wanneer docenten gebruik maken van studentenlijsten, aanwezigheidsregistratie of registratie voor
het uitvoeren van deelopdrachten tijdens de uitvoering van het onderwijs moet hierbij sprake zijn van
dataminimalisatie. Enkel die gegevens die noodzakelijk zijn voor de uitvoering van het onderwijs
kunnen op basis van de Verwerkingsgrondslag ‘gerechtvaardigd belang’ worden geregistreerd. Dit
zijn dus naam en ANR. Hierbij geldt nadrukkelijk dat het registreren en opslaan van Gevoelige dan
wel Bijzondere Persoonsgegevens uitgesloten is.
Wanneer in het kader van voorwaardelijke criteria (voorwaardelijk voor het behalen van de toets)
studentgegevens worden geregistreerd, worden hierbij dezelfde regels gevolgd als bij de registratie
van tentamenresultaten.
7.4. Audio en video opnames in het kader van de uitvoering van onderwijs
TiU biedt als dienstverlening in een aantal gevallen videocolleges aan. Omdat hier mensen gefilmd
worden hebben we te maken met Persoonsgegevens waarop dit beleid van toepassing is.
Bij de opname van een videocollege wordt zoveel mogelijk voorkomen dat studenten in beeld
gebracht worden. In 90% van de gevallen worden de studenten van achteren gefilmd en zijn ze niet
herkenbaar. Er zijn echter situaties waarbij het niet te voorkomen is, dat studenten herkenbaar in
beeld worden gebracht. Veel docenten hechten bijvoorbeeld waarde aan interactie met de zaal en
die willen dat ook in het videocollege terugzien. Ook als een docent de zaal inloopt en de camera
hem volgt, is niet te voorkomen dat studenten herkenbaar in beeld komen.
Studentenlijsten en
aanwezigheidsregistratie
Verwerkingsgrondslag is het gerechtvaardigd belang ten behoeve van onderwijsuitvoering (doel).
Docent mag alleen beschikken over studentnummer en naam van de student (beide gegevens noodzakelijk om fouten te
voorkomen) en geen aanvullende Persoonsgegevens.
Bijzondere
Persoonsgegevens
Docenten registreren nooit Bijzondere Persoonsgegevens van een student.
Themabeleid Privacy & Bescherming Persoonsgegevens – Onderwijs en Studenten – versie 1.0 – mei 2018 35
De volgende richtlijnen zijn van toepassing op het maken van video en audio opnames van colleges.
Verwerkingsgrondslag
VIDEO colleges
Verwerkingsgrondslag gerechtvaardigd belang ten behoeve van onderwijsuitvoering (doel) als dienstverlening aan d